Atribut kunci untuk CloudHSM CLI - AWS CloudHSM
Atribut yang didukungDetail TambahanTopik terkait

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Atribut kunci untuk CloudHSM CLI

Topik ini menjelaskan cara menggunakan CloudHSM CLI untuk menetapkan atribut kunci. Atribut kunci di CloudHSM CLI dapat menentukan jenis kunci, bagaimana kunci dapat berfungsi, atau bagaimana kunci diberi label. Beberapa atribut mendefinisikan karakteristik unik (tipe kunci, misalnya). Atribut lainnya dapat diatur ke true atau false—mengubahnya mengaktifkan atau menonaktifkan bagian dari fungsionalitas kunci.

Untuk contoh yang menunjukkan cara menggunakan atribut kunci, lihat perintah yang tercantum di bawah perintah indukkunci.

Atribut yang didukung

Sebagai praktik terbaik, tetapkan hanya nilai untuk atribut yang ingin Anda buat ketat. Jika Anda tidak menentukan nilai, CloudHSM CLI menggunakan nilai default yang ditentukan dalam tabel di bawah ini.

Tabel berikut mencantumkan atribut kunci, nilai yang mungkin, default, dan catatan terkait. Sel kosong di kolom Nilai menunjukkan bahwa tidak ada nilai default tertentu yang ditetapkan ke atribut.

Atribut CloudHSM CLI Nilai Dimodifikasi dengan kunci set-atribut Dapat diatur pada pembuatan kunci
always-sensitive

Nilainya adalah True jika sensitive selalu diatur True dan tidak pernah berubah.

 Tidak Tidak
check-value Nilai cek kunci. Untuk informasi lebih lanjut, lihat Detail tambahan. Tidak Tidak
class

Nilai yang mungkin:secret-key,public-key, danprivate-key.

 Tidak Ya
curve

Kurva elips digunakan untuk menghasilkan pasangan kunci EC.

Nilai yang Valid: secp224r1secp256r1,prime256v1,secp384r1,secp256k1,, dan secp521r1

 Tidak Dapat diatur dengan RSA, tidak dapat diatur dengan EC
decrypt

Default: False

 Ya Ya
derive

Default: False

 Ya Ya
destroyable

Default: True

 Ya Ya
ec-point

Untuk kunci EC, DER-encoding ANSI X9.62 nilai ECpoint “Q” dalam format heksadesimal.

Untuk jenis kunci lainnya, atribut ini tidak ada.

 Tidak Tidak
encrypt

Default: False

 Ya Ya
extractable

Default: True

 Tidak Ya
id Default: Kosong Tidak Ya
key-length-bytes

Diperlukan untuk menghasilkan kunci AES.

Nilai yang valid:16,24, dan 32 byte.

 Tidak Tidak
key-type

Nilai yang mungkin:aes,rsa, dan ec

 Tidak Ya
label Default: Kosong Ya Ya
local

Default: True untuk kunci yang dihasilkan di HSM, False untuk kunci yang diimpor ke HSM.

 Tidak Tidak
modifiable

Default: True

 Tidak Tidak
modulus Modulus yang digunakan untuk menghasilkan pasangan kunci RSA Untuk jenis kunci lainnya, atribut ini tidak ada. Tidak Tidak
modulus-size-bits

Diperlukan untuk menghasilkan pasangan kunci RSA.

Nilai minimum adalah2048.

 Tidak Dapat diatur dengan RSA, tidak dapat diatur dengan EC
never-extractable

Nilai adalah True jika diekstraksi belum pernah diatur keFalse.

Nilainya adalah False jika diekstraksi pernah diatur keTrue.

 Tidak Tidak
private

Default: True

 Tidak Ya
public-exponent

Diperlukan untuk menghasilkan pasangan kunci RSA.

Nilai yang valid: Nilai harus berupa angka ganjil yang lebih besar dari atau sama dengan. 65537

 Tidak Dapat diatur dengan RSA, tidak dapat diatur dengan EC
sensitive

Default:

  • Nilainya True untuk kunci AES dan kunci pribadi EC dan RSA.

  • Nilainya False untuk kunci publik EC dan RSA.

 Tidak Dapat diatur dengan kunci pribadi, tidak dapat diatur dengan kunci publik.
sign

Default:

  • Nilainya True untuk kunci AES.

  • Nilainya False untuk kunci RSA dan EC.

 Ya Ya
token

Default: False

 Tidak Ya
trusted

Default: False

 Ya Tidak
unwrap Default: False Ya Ya
unwrap-template Nilai harus menggunakan templat atribut yang diterapkan untuk setiap kunci terbuka menggunakan kunci pembungkus ini. Ya Tidak
verify

Default:

  • Nilainya True untuk kunci AES.

  • Nilainya False untuk kunci RSA dan EC.

 Ya Ya
wrap Default: False Ya Ya
wrap-template Nilai harus menggunakan template atribut untuk mencocokkan kunci yang dibungkus menggunakan kunci pembungkus ini. Ya Tidak
wrap-with-trusted

Default: False

 Ya Ya

Detail Tambahan

Periksa nilai

Nilai cek adalah hash 3-byte atau checksum dari kunci yang dihasilkan ketika HSM mengimpor atau menghasilkan kunci. Anda juga dapat menghitung nilai cek di luar HSM, seperti setelah Anda mengekspor kunci. Anda kemudian dapat membandingkan nilai nilai cek untuk mengkonfirmasi identitas dan integritas kunci. Untuk mendapatkan nilai cek kunci, gunakan daftar kunci dengan bendera verbose.

AWS CloudHSMmenggunakan metode standar berikut untuk menghasilkan nilai cek:

  • Kunci simetris: 3 byte pertama hasil enkripsi blok nol dengan kunci.

  • Pasangan kunci asimetris: 3 byte pertama dari hash SHA-1 dari kunci publik.

  • Kunci HMAC: KCV untuk kunci HMAC tidak didukung saat ini.

Topik terkait